web-dev-qa-db-ja.com

非SSLページにhttpsの使用を許可するか、または非SSLページにhttpの強制を許可しますか?

基本的な質問がありますが、以前にここで尋ねたことはありません。私はそれがここに属していると思う。なぜならそれはワードプレスを保護しようとする試みを扱うという事実のためである。

どちらが要求に対してより安全ですか?

Https経由でSSLで保護されていないページを許可するには、またはそれらの要求を強制的にhttpに戻す必要がありますか。

非SSLページをhttpsに強制することの効果または利点は何ですか?ユーザーがログインしていないホームページがhttps要求を出しているとします。この例ではセキュリティ上の利点は何ですか?代わりにhttpバージョンのページにリダイレクトするほうが良いでしょうか。

Httpsを許可するほうが良いのであれば、非SSLページにhttpsを直接ページ上で許可するか、またはajax/admin-ajaxを介して許可するとリダイレクトの問題を引き起こす可能性のある(潜在的な)落とし穴はありますか?

sslhttpshttp
1
Shawn

簡単に言えば、ワードプレスを使用するかどうかにかかわらず、最も基本的なWebサイトでも可能な限りhttpsを使用するようにしてください。ここにいくつかの理由を簡単に説明します。

  1. セキュリティ - 必ずしも安全である必要がないページでもhttpsを使用すると便利です。できるだけ多くの状況をカバーしたいからです。あなたがあなたのサイトにあなたがユーザの個人的な(必ずしも秘密ではないとしても)データを集めるコンタクトフォームを持っているかもしれないと考えてください。そのフォームがhttpsなしで喫茶店に記入されれば、今見ているその喫茶店の誰もがそのユーザーの情報を持っています。これは簡単な例ですが、ここでの可能性は多種多様であることがわかります(cookieなどについて考えてください)。
  2. なりすまし - これは簡単にセキュリティのサブカテゴリになる可能性があります。あなたがhttpsを使用するとき、あなたはそれがあなたのサイトが中央の人を介してなりすまされることをはるかに困難にします。
  3. 参照元データ - httpsページからhttpページに移動すると、すべての参照元データが失われます。これはあなたにとって問題であるかもしれないしそうでないかもしれませんが、それはまだ考慮すべきことです。サイト内でhttpとhttpsの間を移動する場合は、参照元データが失われることを考慮する必要があります(これはseoには悪く、サイトに広告がある場合は特に悪くなることがあります)。
  4. SEO - Googleや他の検索エンジンは、httpsが有効になっているサイトのランキングを高くします。これが良い方針であるかどうかについてなされるべきさまざまな議論がありますが、それは関係なく方針です。
  5. なぜしないのですか? - あなたがサイトをホスティングしていてSSL証明書を持っている場合は、なぜそれをすべてのページで使用しないでください。実際にはマイナス面はありません。個人的には、どのページを常に管理するのではなく、Apache(またはIIS)構成を使用してサイト全体で有効にして忘れるのがはるかに簡単です。安全ではありません。

これらは大きな理由のほんの一部ですが、他にも同じように有効なものがあります。

0
TheGentleman